Sudo αναβαθμίστε άμεσα την μικρό-εφαρμογή

Ένα μεγάλο κενό ασφαλείας που επηρεάζει το οικοσύστημα επιδιορθώθηκε από χθες το βράδυ στο Sudo, μια εφαρμογή που επιτρέπει στους διαχειριστές να δίνουν περιορισμένη πρόσβαση root σε άλλους .

Η ευπάθεια, η οποία έχει σαν αναγνωριστικό το CVE-2021-3156, είναι πιο γνωστή σαν “Baron Samedit”, και ανακαλύφθηκε από την ασφαλείας Qualys πριν από δύο εβδομάδες. Επιδιορθώθηκε από χθες το βράδυ με την κυκλοφορία του Sudo v1.9.5p2 (ενημερώστε άμεσα).

Σε μια απλή εξήγηση που παρέχεται από την ομάδα του Sudo, το σφάλμα Baron Samedit μπορεί να αξιοποιηθεί από έναν εισβολέα που έχει αποκτήσει πρόσβαση σε έναν με χαμηλά προνόμια για να αποκτήσει πρόσβαση root, ακόμα και αν ο λογαριασμός δεν αναφέρεται στο /etc/sudoers – ένα ρυθμίσεων που ελέγχει σε ποιους χρήστες επιτρέπεται η πρόσβαση στις εντολές su ή sudo.

Για τις τεχνικές λεπτομέρειες δείτε την αναφορά της Qualys ή παρακάτω βίντεο.

Ενώ έχουν αποκαλυφθεί δύο άλλες αδυναμίες ασφαλείας του Sudo τα τελευταία δύο χρόνια, το σφάλμα που αποκαλύπτεται σήμερα είναι πολύ πιο επικίνδυνο.

Τα δύο προηγούμενα σφάλματα, το CVE-2019-14287 και CVE-2019-18634, ήταν δύσκολο να αξιοποιηθούν επειδή απαιτούσαν πολύπλοκες και μη τυπικές ρυθμίσεις στο sudo.

Τα πράγματα είναι διαφορετικά για το σφάλμα που αποκαλύφτηκε σήμερα, γιατί επηρεάζει όλες τις εγκαταστάσεις του Sudo όπου υπάρχουν στο αρχείο sudoers (/etc/sudoers) – το οποίο βρίσκεται συνήθως στις περισσότερες προεπιλεγμένες εγκαταστάσεις Linux – Sudo.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).